本文作者
腾讯守护者计划安全专家
黄汉川&江啸风
腾讯安全战略高级研究员
吴延鸿
互联网时代,总是充满反转。
下面这些场景或许你也遇到过:
你以为撩你的是善解人意身材火辣的小姐姐?杀猪盘了解一下?
你以为动不动流量过亿的小哥哥们就是当红炸子鸡?《10亿流量背后的秘密》请回顾一下。
......
其实,他们更可能是冷冰冰毫无感情的群控机器人。
这些由黑产团伙开发使用的群控,制造了互联网的虚假流量,是流量黑产王国里的重要一环。
在不断升级的黑产打击猫鼠游戏中,我们发现:群控已经出现了第五代,黑产开始转向技术手段更先进、隐蔽性更强的新型云控系统。
多开模拟器:这是原始的第一代,此类设备可以将一台越狱的iPhone模拟出数十台苹果系统。
举个例子,一台手机上跑了N个app。但在app后台看来,它的N个app分别装在N个不同的手机中,彼此独立、毫无关联。群控:指通过系统自动化控制集成技术,把多个手机操作界面直接映射到电脑显示器,实现由一台电脑来控制几十台甚至上百台手机的效果。以某社交平台群控为例,它是在群控体系基础上,针对其定制化、批量模仿正常个人用户操作的软硬件集成体系。它以群控体系+各种批量模仿脚本的方法,完成批量操作,其所有任务执行都是同时进行的。从图片中我们可以看到,第二代需要拥有很多智能手机。
箱控:是群控的进化变种,把手机核心组件都做到一个箱子,去掉一些用不上的硬件,做成的专门的群控设备,一个箱子可操控多台手机的多个APP,具体方法是使用了一款名为appium的安卓自动化测试工具,通过文字、控件id、控件名称等直接定位到APP的控件进行操作。
箱控是高度集成化的第三代。
云控(传统云控):通过无线连接。电脑通过后台发送指令到云端,云端的指令再发到手机群,继而执行任务。理论上,一台电脑可以控制上千台手机。第四代,已经升级到了云端。然而,随着互联网公司安全策略不断加强,多开模拟器已被封杀殆尽,传统的群控、云控上的互联网帐号存活时间也被极度压缩。但流量黑灰产们也不是吃素的,总会想尽办法钻法律和网络的空隙。所以,传统的群控、云控再次升级——也就是第五代群控,新型云控系统。新型云控:主要指的是通过云端协议外挂的形式,发送数据包与服务器进行交互,自定义进行登录互联网帐号、绑定邮箱、更改密码等操作。一台电脑一个账号就可以操控上万个帐号。除了成本低、较难封号外,此类新型云控还有一机多开聊天、隐藏真实地址等更多优势,所以除了养号、薅羊毛等需要批量自动化操作的黑灰产外,也便于诈骗、赌博等需要精准一对一实施的黑产犯罪团伙直接使用。腾讯公司安全团队通过协助警方打击新型云控案件,分析出新型云控黑产的链条和手法,这里先看一张图:
光看图,可能大家还是有点不太理解,鹅师傅再和大家来详细聊聊:也就是号商,注册海量的社交帐号,并通过脚本工具获取62数据或A16数据。这两个数据是某社交平台用户登录新设备后生成的加密文件,这个文件储存在其安装目录中,下次运行时检测到该文件就可以自动登录。如果把这个文件中的数据导入到另一部设备中,那么这部设备也可以跳过登录验证的步骤直接登录账号。恶意注册商就是通过这种手法,搭配注册的社交账号、密码进行售卖,黑产团伙购买后在云控平台上登录使用。云控平台团伙有搭建网站服务器、源码构建、代理销售等几个重要环节,具体如下:一个云控网站一般由一台数据库服务器、一台WEB服务器,数百台账号登录服务器组成。很多非法分子为了躲避国内的信息追踪,都会选择租用国外或者港澳台的服务器。比如,某作恶云控团伙租用香港某云多台数据库服务器、WEB服务器,数千台账号登录服务器开展云控活动,峰值可达每天10万以上账号通过云控平台作业。核心程序哪里来?云控程序作者会通过Github上的多开开源代码改编成核心程序平台运行时,加载核心程序。根据黑产用户通过网站服务器发送的帐号等信息及请求,调用核心程序内函数构造数据包发送给服务器,进行登录帐号、查询聊天记录、绑定邮箱、更改密码及账号等操作。Github原是一个开发者共享自己代码成果,相互交流学习的平台,却这样被有心之人利用其便利的开源代码加工成非法获利的工具。为了扩大影响力,这些云控平台还会不断在全球各地招募代理和客服,与代理五五分成,向黑灰产提供云控服务。从警方获悉,“X云控”、“Y云控”价格为45元/月/账号,另外还出售社交账号60元/个,每月盈利近千万元。有了云控系统来批量地进行操作,而且还能隐匿真实IP地址,像网络诈骗等下游互联网黑产自然是非常乐意购买云控平台的服务。通过云控进行养号、解换绑、爆粉(批量加好友)、多开聊天等操作,大大提高了不法分子的“工作”效率,还能很好地对抗线上识别打击策略。所以,有的云控团队还会直接明目张胆地寻找BC(博彩)、WZ(网赚)等黑产合作。群控、云控,早已出现在社交平台和电商平台的各个互联网应用场景中。
工作室通过群控、云控进行暴力加粉、进行广告投放及关注量、阅读量、点赞量、投票量等刷量业务。通常为流量工作室的副业经营,对各种APP的优惠活动下手,通过提现或转卖获利。积少成多之下获利可观,2019年,某电商平台就曾被薅羊毛数千万元。通过群控、云控批量操控账户维持社交活跃度,模拟真实自然人行为,养大量社交账号,为黄赌骗等黑灰产服务。新型云控由于有成本低、一对一多开聊天、难封号等特点,更多地被黑产直接使用与诈骗、赌博等场景。新型云控这样的协议外挂完整地逆向了客户端与服务端的通信协议,通过编写脚本的方式模拟客户端,进而与服务端进行交互,可以以极小的代价发起海量请求。
鹅师傅举个简单的例子,人与人之间沟通,需要使用语言,例如普通话,那么客户端与服务器之间的沟通,也是需要使用网络语言的,这个语言就是TCP/IP协议。当使用协议外挂时,运行外挂的设备,可以在同一时间,伪装成多个客户端,向服务器发起多个请求,就像同一时间让一个人处理多个工作。所以新型云控对于互联网生态危害非常大,并且具有以下特点:
1、对抗变激烈:云控上的号码越来越像真实用户,难以对抗和识别。
2、云端控制:通过云端控制便于黑产购买和隐匿身份、地址,也便于出售者制定对抗互联网平台安全策略及实施日常维护。
3、多级分销:黑产链条精细化,作者-销售-客服等逐级分离,想要打击到上游的作者非常地困难。
4、公司化外衣:不少云控作者及其服务器运维团队,乃至下游的黑灰产通过包装公司外衣,以少量正常业务为遮掩,开展黑灰产活动,打击难度大大增加。
新型云控黑产对业务研究较深,养的号码更像真实用户,给诈骗等网络黑产如提供了便利工具,严重危害互联网生态安全。面对当今黑产这样产业化、专业化、团伙化和链条化的运作模式,攻防对抗将是一场不断厮杀的持久战。
守护者计划安全团队将对云控黑产开展持续对抗与研究,逐步摸清黑产变化特点,增强识别防范能力,并通过加强云端联动能力及业务能力建设,快速迭代,努力提高黑产的作恶成本和门槛,针对黑色产业链的所有节点逐个对抗。通过大数据分析与多种账号策略对抗,对于新型云控账号的发现封号率已达50%以上,其中诈骗封号占比达40%。今年,腾讯守护者计划安全团队先后协助警方落地打击两起案件,一个是新型云控运营团伙,捣毁数个新型云控平台,抓获嫌疑人20余人,其犯罪获利超过5000万元;一个是协助警方捣毁了一个箱控团伙的生产工厂、开发团队和销售公司,抓获嫌疑人60余人,涉案金额超过1000万元。群控、云控由于其背后潜藏着巨大利益,仅凭用户协议和平台声明难以进行有效的约束,所以急需从司法层面对其进行打击。
从目前的司法实践来看,多以此类行为主体与平台经营者之间存在市场竞争关系为基础,通过认定群控、云控以技术手段妨碍和破坏合法软件的正常运行为由,适用《反不正当竞争法》第十二条第二款第四项规定的“其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”,或将其评价为“食人而肥”的搭便车行为。从违背诚实信用原则与公认的商业道德的角度出发,适用《反不正当竞争法》第二条规定的“经营者在生产经营活动中,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德”,认定此类行为属于不正当竞争,从而保护互联网企业的合法权益。(1)多开模拟器。早期使用的多开模拟器通过安装模拟器应用程序,复制出包名不同的相同程序或获取不同IP实现多开,本质上是以技术手段规避检测。虽不涉及对计算机系统的侵入、控制或破坏,但多开模拟器进行群控,发布的多为违法犯罪信息,或者为违法犯罪活动发布信息,甚至直接用于违法犯罪活动。因而在能证明其主观故意或下游犯罪的情况下,可以非法利用信息网络活动罪或诈骗、传播淫秽物品等具体罪名予以打击。(2)群控、传统云控。群控通过自动化集成技术来批量控制己方手机墙,而传统云控则通过云端命令批量控制接入的大量第三人手机,传统云控可视为群控的进阶版本,对抗难度更大。这两者与“多开模拟器”一样,虽大多不涉及对计算机信息系统的侵入、控制或破坏,但也可以非法利用信息网络活动罪或诈骗、传播淫秽物品等具体罪名予以打击。而且传统云控在控制第三人手机的同时,还往往伴随着未经用户授权而非法获取用户个人信息的或者盗窃用户财物的情况发生,可以侵犯公民个人信息罪或盗窃罪等罪名数罪并罚。(3)新型云控。上述多开模拟器、群控、传统云控的罪名认定同样适用于新型云控。但新型云控还有其独特性,其通过破解协议的方式入侵计算机信息系统,直接发送数据包对信息系统实施控制,实现应用程序原先不具有的、破坏应用生态的功能,严重影响互联网企业的正常经营,其行为已经构成非法控制计算机信息系统罪。除此之外,新型云控多是在反编译原有应用程序源代码的基础上,利用其核心代码和协议封装成云控客户端,如果行为人以营利为目的,就该云控程序通过信息网络向公众传播,根据两高《关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释》第十一条之规定,视为“复制发行”,符合《刑法》第二百一十七条规定的“未经著作权人许可,复制发行其文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品”,违法所得数额较大或者有其他严重情节的,涉嫌构成侵犯著作权等犯罪。目前,以群控、云控为中心已经发展出一条完整的互联网黑产链,上游为提供手机号的卡商、提供接码服务的接码平台,中游为恶意注册商、群控、云控软件开发者、销售者,下游则是具体实施群控、云控用于违法犯罪的平台服务购买者。因此,针对群控、云控最有效的规制是重视对黑产全链条的打击,既要严厉打击群控云控行为本身,也要注重料商、卡商及接码平台等源头性黑产的整治,以及下游各种具体作恶场景的惩处。具体来说,对上游可按具体情况以侵害公民个人信息罪、非法经营罪、帮助信息网络犯罪活动罪等进行打击,对下游以其具体实施的犯罪进行打击,实现全链条治理。随着黑产技术的不断更新、规模的不断扩大,仅靠企业通过技术手段进行防御难以形成有效的治理,需要注重技术与司法、执法的配合。同时,也应注重用户与平台、监管部门的协作,教育用户勿因小利而入局,鼓励用户违规情况进行举报,促使用户参与到互联网共治中,与平台、监管部门形成协同合力。很多购买了云控服务的团队认为云控群控只是一套用来提高效率的工具,把大量需要人工操作的事情变成了自动化控制。但在犯罪团伙的眼里,这样的工具却变成了罪恶的利器。